《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 網(wǎng)絡(luò)空間零信任安全的三個關(guān)鍵

網(wǎng)絡(luò)空間零信任安全的三個關(guān)鍵

2021-08-28
來源: 網(wǎng)電空間戰(zhàn)
關(guān)鍵詞: 零信任安全

  在 COVID-19 大流行爆發(fā)之前,美國國防部 (DoD) 已經(jīng)朝著完全無邊界的安全環(huán)境邁進(jìn)?,F(xiàn)在,,該機構(gòu)已經(jīng)完全進(jìn)入了一個幾乎完全開放的環(huán)境,過去存在的物理限制已基本消除,因此對其勞動力、工具、供應(yīng)鏈和運營的新型威脅比比皆是,。

  美國國防部的回應(yīng)是采用零信任網(wǎng)絡(luò)安全架構(gòu),但這種做法存在其自身的問題,。不斷重申用戶和系統(tǒng)身份并強制執(zhí)行授權(quán)的需求會產(chǎn)生巨大的沖突——定義為由于安全要求而阻止或延遲主要任務(wù)的任何情況——這會鼓勵使用繞過或過度訪問,,這兩者都無助于一次成功的防御行動。

  但是通過自動化和虛擬化的基礎(chǔ)設(shè)施和用戶行為分析,,美國國防部可以保持強烈的零信任立場,,同時顯著減少問題和用戶挫折。

  自動聲明式訪問

  零信任需要更多的系統(tǒng)檢查:用戶的訪問需求不斷變化,,身份驗證和授權(quán)程序需要不斷更新,。使用手動干預(yù)來跟上這些檢查和更改可能效率低下并引入新的風(fēng)險。

  最好使用聲明式訪問控制而不是命令式控制,。使用聲明式訪問模型,,系統(tǒng)被設(shè)置為基于底層交互的意圖和需要提供訪問。通常,,根據(jù)用戶需求對匹配數(shù)據(jù)的規(guī)則進(jìn)行編碼,,本質(zhì)上側(cè)重于數(shù)據(jù)保護(hù)屬性:例如類型、來源和傳播,。相反,,命令式模型依賴于參與者及其行為的關(guān)系。隨著參與者的變化或系統(tǒng)的發(fā)展和相互集成,,聲明式訪問控制更加一致和可預(yù)測——就像美國國防部向云和邊緣計算沖刺一樣,。

  美國國防部已經(jīng)朝這個方向發(fā)展,但大流行加速了對基于屬性的訪問控制 (ABAC) 和基于角色的動態(tài)訪問控制 (RBAC) 的需求,。ABAC 會考慮特定的用戶屬性,,并在決定是否允許訪問時考慮這些屬性。動態(tài) RBAC 支持基于傳統(tǒng)屬性(如用戶角色或職位)的訪問,,但也將訪問限制為僅訪問特定任務(wù)所需的功能,。動態(tài) RBAC 還可能會考慮不同的經(jīng)驗和認(rèn)證級別等微妙之處。

  這兩種做法都需要一個底層的自動化層,,可以立即將聲明性請求轉(zhuǎn)換為命令式授權(quán),、授權(quán)限制或完全阻止請求。以無縫方式自動安全地授權(quán)訪問可以使用戶能夠?qū)崟r獲取他們需要的信息或使用新系統(tǒng),,而不會影響安全性,。

  虛擬化安全環(huán)境

  即使用戶可以訪問信息,他們使用的系統(tǒng)仍有可能不像以前那樣安全,。盡管云越來越流行,,但在大流行之前,美國國防部仍然通過物理方式處理大部分安全問題,。人們使用國防部發(fā)放的筆記本電腦,,通常是在國防部網(wǎng)絡(luò)和系統(tǒng)上。這些系統(tǒng)使安全管理員更容易判斷用戶的機器是否有適當(dāng)?shù)牟《痉雷o(hù),,并就安全性做出合理的斷言,。

  當(dāng)所有人都遠(yuǎn)離的時候,很多物質(zhì)上的保證頓時消失了,。雖然軍事人員仍在使用高度安全的設(shè)備,,但美國國防部的許多工作人員更多地依賴可能并不完全安全的個人筆記本電腦和智能手機。

  虛擬化安全可以幫助團(tuán)隊克服這一挑戰(zhàn),。虛擬系統(tǒng)可以通過在用戶和他們正在訪問的系統(tǒng)之間提供一個抽象層來幫助管理員重新獲得他們機構(gòu)的安全態(tài)勢,。管理員可以在他們的虛擬基礎(chǔ)架構(gòu)中插入保護(hù)措施——例如過濾、協(xié)議中斷和自動備份和恢復(fù),,以保護(hù)系統(tǒng)免受他們可能會暴露的任何惡意軟件的侵害,。如果這些保護(hù)措施失敗,虛擬環(huán)境可以將其潛在的網(wǎng)絡(luò)安全爆炸半徑降至最低,。

  用戶行為分析中的分層

  完成無零信任圖:監(jiān)控用戶行為,。可以根據(jù)用戶的行為模式對其進(jìn)行監(jiān)控,;與正常模式的任何偏差都可能表示異常行為,,表明用戶可能已受到威脅。

  例如,,用戶可以稍后在 DC Moments 中從其家庭辦公室訪問網(wǎng)絡(luò),,他們的憑據(jù)可用于從該國家/地區(qū)以外的 IP 地址獲取對不同數(shù)據(jù)集的訪問權(quán)限,。在檢測到這種異常活動時,,系統(tǒng)可以自動降低與用戶關(guān)聯(lián)的信任級別,,并且僅降低該用戶的信任級別。此操作可以保護(hù)網(wǎng)絡(luò),,而無需將其他用戶關(guān)閉在系統(tǒng)之外,,這使他們能夠繼續(xù)工作而不會遇到任何不當(dāng)中斷。

  零信任網(wǎng)絡(luò)安全不一定是痛苦或破壞性的體驗,。通過采用自動化,、虛擬化和行為分析,管理員可以在執(zhí)行任務(wù)時保護(hù)他們的網(wǎng)絡(luò)并支持他們的同事,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]